Informationssystem inom social- och hälsovården

Med krav på funktioner avses de funktioner och informationsinnehåll som utförts i informationssystemet. De grundar sig i allmänhet på social- och hälsovårdslagstiftningen, exempelvis läkemedelslagen eller patientlagen. Informationssystemets användningsändamål fastställer de funktioner och informationsinnehåll systemet ska verkställa.  

De funktioner och informationsinnehåll som krävs av systemen beskrivs närmare i dokumentet Förteckning över väsentliga krav från Institutet för hälsa och välfärd (THL). Dokumentet finns längst ner på denna sida.  

Producenten av en informationssystemtjänst ska fylla i en systemblankett för att beskriva de funktioner och informationsinnehåll som utförts i systemet. Uppgifterna på blanketten ska vara aktuella och korrekta. Uppgifterna ska också motsvara de funktioner och informationsinnehåll som utförs i systemet.

System i kategori A

Om ett system hör till kategori A levererar producenten av informationssystemtjänsten systemblanketten 

till FPA, då den anmäler systemet till interoperabilitetstestning (kategorierna A2 och A3) 

till ett bedömningsorgan för informationssäkerhet, då den anmäler systemet till en bedömning av informationssäkerheten (kategorierna A1, A2 och A3) 

till Tillstånds- och tillsynsverket som bilaga till registreringsanmälan (kategorierna A1, A2 och A3).

System i kategori B

Om ett system hör till kategori B levererar producenten av informationssystemtjänsten systemblanketten till Tillstånds- och tillsynsverket som en bilaga till registreringsanmälan.   

Minimikraven på funktioner för system i kategori B har beskrivits i profilen Minimikrav på system avsedda för klient- eller patientuppgifter från Institutet för hälsa och välfärd. Profilen finns längst ner på denna sida. 

På sidan Klassificering av informationssystem inom social- och hälsovården får du närmare information om informationssystem som hör till kategorierna A och B.

Med interoperabilitet avses att Kanta-tjänsterna och de system som är anslutna till dem kan dela och visa klient- och patientuppgifter sinsemellan. 

Interoperabilitet möjliggör att klient- och patientuppgifter kan delas mellan olika tjänstetillhandahållare via Kanta-tjänsterna. 

Interoperabilitet förutsätter att system som ansluts till Kanta-tjänsterna har utförts enligt de nationella specifikationerna.

Interoperabilitetstestning som anordnas av FPA

FPA utför interoperabilitetstestning av system som hör till kategori A2 och A3. Ett undantag från detta är Kanta-tjänsterna som hör till kategori A3, och som inte interoperabilitetstestas separat. FPA utför dessutom interoperabilitetstestning av välbefinnandeapplikationer som hör till kategori A.  

FPA ger producenter av informationssystemtjänster ett utlåtande och en rapport om godkänd interoperabilitetstestning. Interoperabilitetstestningen är en avgiftsfri tjänst. 

Frågor om interoperabilitetstestning ska skickas till adressen yhteistestaus(at)kanta.fi.

Med krav på informationssäkerhet strävar man efter att säkerställa sekretessen, integriteten och tillgängligheten för klient- och patientuppgifter. 

Sekretess: kunduppgifter är endast tillgängliga för personer som har rätt att se dem.  Sekretess innebär till exempel att patientinformationssystemet säkerställer att det finns ett vårdförhållande innan man kan titta på uppgifterna. 

Integritet: kunduppgifterna är aktuella, felfria och icke-motstridiga. Dessutom kan kunduppgifterna endast ändras av personer som har rätt till det, vilket säkerställs till exempel genom en yrkesutbildad persons underskrift.   

Tillgänglighet: kunduppgifterna är tillgängliga för social- och hälsovården när de behövs. Kunduppgifterna som lagrats i Kanta-tjänsterna ska exempelvis alltid finnas tillgängliga för tjänstetillhandahållare inom social- och hälsovården. 

Kraven på informationssäkerhet säkerställer genomförandet av klienternas och patienternas dataskydd.

Bedömning av informationssäkerheten som utförs av ett bedömningsorgan

En bedömning av informationssäkerheten ska utföras på informationssystem i kategori A för att kontrollera att kraven på informationssäkerhet uppfylls.  

Bedömningen utförs av ett bedömningsorgan för informationssäkerhet som godkänts av Transport- och kommunikationsverket Traficom, och som utfärdar ett informationssäkerhetsintyg och en anknytande rapport till producenten av en informationssystemtjänst. Informationssäkerhetsintyget är i kraft högst tre år och kan förlängas för högst tre år i sänder. 

Producenter av informationssystemtjänster väljer vilket av de bedömningsorgan som Traficom godkänt de använder för bedömning av informationssäkerheten. Bedömning av informationssäkerheten är en avgiftsbelagd tjänst.

Krav på informationssäkerhet för system i kategori B

För system i kategori B krävs ingen bedömning av informationssäkerheten som utförs av ett bedömningsorgan. När producenten av en informationssystemtjänst registrerar sitt system i kategori B, intygar den på systemblanketten att informationssystemet uppfyller de väsentliga kraven för användningsändamålet.  

Producenten av informationssystemtjänsten kan om så önskas beställa en bedömning av informationssäkerheten även för system i kategori B.  

Minimikraven på funktioner för system i kategori B beskrivs i profilen Minimikrav på system avsedda för klient- eller patientuppgifter från Institutet för hälsa och välfärd. Profilen finns längst ner på denna sida.

Skyldigheterna för producenter av informationstjänstsystem är bland annat:

• Klassificering av informationssystemet.
• Påvisande av att informationssystemet uppfyller kraven, vilket innebär certifiering av informationssystem i kategori A och en redogörelse för att informationssystemet uppfyller de väsentliga kraven i förhållande till användningsändamålet i kategori B.
• Göra en registreringsanmälan till Tillstånds- och tillsynsverket, så att systemet registreras i Astori före det tas i produktionsanvändning.
• Följa upp ändringar och införa dem i informationssystemet inom de tidsfrister som föreskrivits.  En ändring kan till exempel vara att utföra en ny funktion i informationssystemet.
• Förnya bedömningen av informationssäkerheten för ett informationssystem i kategori A innan det tidigare informationssäkerhetsintyget löper ut.
• Anmäla Tillstånds- och tillsynsverket om väsentliga ändringar i informationssystemet samt om att användningen av systemet har upphört. Gör en registreringsanmälan på sidan Registrering av social- och hälsovårdens informationssystem.
• Anmäla om betydande avvikelser i systemet till alla tjänstetillhandahållare och apotek som använder det.
• Anmäla Tillstånds- och tillsynsverket om avvikelser som utgör en betydande risk för klient- eller patientsäkerheten eller informationssäkerheten samt om betydande informationssäkerhetsrelaterade störningar som påverkar driftsmiljöer och informationsnätverk. Gör en avvikelseanmälan på sidan Betydande avvikelse.
• Kontrollera giltigheten för de identifieringsverktyg som används för att identifiera personer och informationstekniska enheter som hanterar kunduppgifter i enlighet med bestämmelserna i lagen om stark autentisering och betrodda elektroniska tjänster.

Skyldigheterna för tjänstetillhandahållare inom social- och hälsovården och apotek är bland annat att:

• Använda ett system som uppfyller de väsentliga kraven och vars användningsändamål motsvarar tjänstetillhandahållarens och apotekets verksamhet, och vars uppgifter är införda i Astori-registret.
• Ansluta sig som användare av Kanta-tjänsterna enligt de tidsfrister som föreskrivits, om tjänstetillhandahållaren använder ett informationssystem avsett för behandling av klient- och patientuppgifter.
• Ansvara för att de kunduppgifter som lagras i Kanta-tjänsterna är korrekta.
• Ta i bruk nya funktioner och informationsinnehåll som krävs enligt bestämmelserna inom de föreskrivna tiderna.
• Föra ett register över användarna av klient- och patientinformationssystem och deras användarrättigheter samt fastställa rätten för yrkesutbildade personer inom social- och hälsovården att använda klient- och patientuppgifter.
• Samla in registerspecifika logguppgifter om all användning och allt utlämnade av kunduppgifter för uppföljning och övervakning.
• Upprätta och underhålla en informationssäkerhetsplan för informationssäkerhet och dataskydd samt användning av informationssystemen.
• Anmäla producenten av informationssystemtjänsten om betydande avvikelser i systemets överensstämmelse med de väsentliga kraven. Anmälan ska också göras till Tillstånds- och tillsynsverket ifall avvikelsen medför en betydande risk för klient- och patientsäkerheten eller informationssäkerheten. Gör en avvikelseanmälan på sidan Betydande avvikelse.
• Anmäla dataskyddsombudet om en dataskyddsincident förekommer vid uppfyllandet av de väsentliga kraven för informationssystemet.
• På ett tillförlitligt sätt identifiera dem som behandlar kunduppgifter samt informationstekniska enheter och de riksomfattande informationssystemtjänsterna.
• Kontrollera giltigheten för de identifieringsverktyg som används för att identifiera personer och informationstekniska enheter som hanterar kunduppgifter i enlighet med bestämmelserna i lagen om stark autentisering och betrodda elektroniska tjänster.